iSecure logo
Blog

Zgoda dziecka na przetwarzanie danych osobowych

Olga Jaworowska

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o tej zgodzie prawi, nie odnosząc się do ogólnych zasad i warunków wyrażania zgody, m.in. uregulowanych w art. 7 RODO.

RODO odnosi się w sposób szczególny do ochrony dzieci, którym bezpośrednio świadczy się usługi społeczeństwa informacyjnego uważając je za mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Szczególną ochroną otacza dzieci w sytuacjach, gdy wykorzystywane mają być ich dane osobowe do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.

Należy zapamiętać, że sytuacja dziecka podlega szczególnemu reżimowi, gdy chodzi o kwestie świadczenia usług społeczeństwa informacyjnego kierowanych bezpośrednio do dziecka i gdzie zgoda jest konieczna (np. nie zachodzi przesłanka przetwarzania danych na podstawie umowy, regulaminu usług). Kwalifikacji, czy usługi są kierowane bezpośrednio dziecku, należy dokonywać ad hoc. Podając przykład, w doktrynie prawniczej wskazuje się, że gdy na stronie internetowej podaje się informację, że usługi są kierowane do osób, które ukończyły 18 lat i przestrzega się tych zasad, to uznaje się, że usługi nie są kierowane do dzieci.

Usługi społeczeństwa informacyjnego, to nic innego, jak każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. „Na odległość” oznacza to, że usługa świadczona jest bez równoczesnej obecności stron. „Świadczenie usługi drogą elektroniczną” oznacza z kolei, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych. Do tej kategorii nie zalicza się usług o charakterze materialnym, nawet jeśli świadczone są z wykorzystaniem urządzeń elektronicznych, np. dystrybucja banknotów i biletów przez automaty. Świadczenie „na indywidualne żądanie” oznacza natomiast, że przesyłanie danych następuje na żądanie odbiorcy usług. Do tych usług nie należą usługi świadczone w formie przesyłania danych bez indywidualnego zamówienia i przeznaczone do równoczesnego odbioru przez nieograniczoną liczbę odbiorców.

A teraz po polsku: będą to np. gry online, czy słuchanie muzyki w aplikacji na telefon.

Przejdźmy do meritum; zgodnie z RODO osoba, która ukończyła 16 lat może samodzielnie wyrazić skuteczną zgodę na przetwarzanie danych osobowych. Przetwarzanie danych osobowych dziecka poniżej 16 lat, możliwe jest wyłącznie po uzyskaniu zgody wyrażonej przez rodzica lub opiekuna prawnego, lub po otrzymaniu od nich potwierdzenia zgody wyrażonej przez dziecko. Administrator zobowiązany jest – uwzględniając dostępną technologię – podejmować rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała, np. poprzez zobowiązanie przelew 1 grosza na konto podmiotu żądającego przedmiotowego potwierdzenia. Obowiązek weryfikacji dotyczy także wieku dziecka. Mechanizm weryfikacji dobiera się w zależności od określonego ryzyka związanego z przetwarzaniem, nie naruszając zasady minimalizacji danych, czasem wystarczy żądanie podania daty urodzenia, czy zaznaczenia opcji potwierdzającej ukończenie określonego wieku. Zaś czasem można zastosować inne środki – wszystko w zależności od wyniku oceny ryzyka związanego z przetwarzaniem.

Każde państwo członkowskie miało możliwość obniżenia dolnej granicy wieku do maksymalnie 13 lat. Początkowo, w projektach nowej ustawy o ochronie danych osobowych, polski ustawodawca chciał skorzystać z przysługującego mu prawa i obniżyć wiek do 13 lat, powołując się na potrzebę ujednolicenia przepisów prawa polskiego z zakresu dwóch reżimów prawnych – prawa ochrony danych osobowych i prawa cywilnego. Zgodnie z tym ostatnim, osoba, która kończy 13 lat ma prawo do zawierania umów w drobnych bieżących sprawach życia codziennego i rozporządzać swoim zarobkiem. Ograniczona zdolność do czynności prawnych oznacza, iż małoletni może składać oświadczenia woli, z tym, że pewnych sytuacjach do ich skuteczności wymagana jest zgoda przedstawiciela ustawowego. Ostatecznie, z przyjętego projektu ustawy zapis ten został wykreślony. Brak regulacji na poziomie krajowym skutkuje stosowaniem zapisów RODO, co oznacza, że granica wieku w przedmiotowym przypadku w Polsce wynosi 16 lat. Co to oznacza dla osób stosujących przepisy RODO? Konieczność odmiennego wniosku, co do skuteczności zachowania dziecka w przypadku, gdy jednocześnie jego zachowania oceniane jest z punktu widzenia prawa ochrony danych osobowych i kodeksu cywilnego. Czternastoletni Staś kupi komiks przez sklep internetowy, ale zgodę na przetwarzanie danych osobowych w celu wysyłki informacji handlowych o najnowszych komiksach i grach na tej samej stronie internetowej, będzie musiał wyrazić lub potwierdzić jego tato. Czas pokaże jak powyższe regulacje sprawdzą się w praktyce. A jeśli praktyka i wdrażanie RODO, to tylko z iSecure 🙂

Podobne wpisy:

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
Aleksandra Eluszkiewicz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. […]

Dane osobowe w kopiach zapasowych
Olga Jaworowska

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]